Discourse e la vulnerabilità Log4j

Il 9 dicembre, CVE 2021-44228 è stato pubblicato per log4j, una libreria di logging Java comunemente utilizzata. Successivamente, sono stati pubblicati anche CVE-2021-45046 e CVE-2021-45105. Abbiamo ricevuto numerose domande su queste vulnerabilità e sul fatto che interessino Discourse.

Discourse è un’applicazione Ruby e, pertanto, non fa alcun uso di questa libreria Java. Inoltre, le nostre istruzioni di installazione standard per le installazioni self-hosted non includono componenti Java.

Hosting gestito di discourse.org

Come parte del nostro servizio di hosting gestito di discourse.org, utilizziamo una serie di applicazioni basate su Java tra cui Jenkins, Elasticsearch, Logstash e Kibana. Non appena siamo venuti a conoscenza della vulnerabilità, abbiamo verificato tutti questi componenti rispetto agli avvisi dei loro sviluppatori.

Abbiamo condotto una valutazione completa della sicurezza a seguito del rapporto.

• Audit del software attualmente in esecuzione che potrebbe essere interessato dalla vulnerabilità log4j
• Audit dell’impatto di un potenziale difetto
• Analisi dei log

Le nostre versioni di Jenkins, Elasticsearch e Kibana non sono state interessate dalla vulnerabilità. La nostra versione di Logstash potrebbe essere stata vulnerabile ad attacchi Denial of Service in condizioni specifiche, ma non era vulnerabile alla vulnerabilità di esecuzione remota di codice ampiamente segnalata.

Tutti questi componenti sono stati aggiornati alle loro ultime versioni e ora eseguono l’ultima versione di Log4j (2.17). Per ulteriori informazioni, è possibile leggere l’avviso di sicurezza di Elastic e il post sul blog di Jenkins.

Le informazioni si stanno evolvendo rapidamente. Stiamo seguendo le notizie e aggiorneremo ulteriormente se ritenuto necessario.

Abbiamo anche convalidato lo stato della correzione di log4j sui nostri fornitori sensibili. Ecco alcuni degli avvisi pubblici rilasciati dai nostri fornitori.

• Stripe - Aggiornamento per la vulnerabilità Apache Log4j
• Google Cloud - Vulnerabilità Apache Log4j 2
• AWS - Aggiornamento per il problema Apache Log4j2

Alcuni fornitori sono stati contattati privatamente.

Nota, per qualche motivo questo argomento è scomparso dall’indice di Google, sto facendo un rapido test qui per vedere se l’aggiunta di una risposta lo farà indicizzare e aggiungere all’indice.